CVSS 4.0: Neue Metriken für eine verbesserte Bewertung von Sicherheitslücken
Das Common Vulnerability Scoring System (CVSS) hat mit der Veröffentlichung der Version 4.0 einen bedeutenden Versionssprung gemacht. CVSS ist ein Bewertungssystem für Sicherheitslücken, das IT-Verantwortlichen dabei hilft, die Bedrohungslage richtig einzuschätzen und angemessene Maßnahmen zu ergreifen. Die neueste Ausgabe bietet zusätzliche Metriken, um noch fundiertere Bewertungen zu liefern, sowie eine effektivere Anpassung an IoT-Geräte.
CVSS wurde von internationalen Sicherheits- und Incident-Response-Teams entwickelt und ist Teil des Forum of Incident Response and Security Team (FIRST). CVSS 4.0 ersetzt den bereits acht Jahre alten Vorgänger CVSS 3.0, wobei die erste Version von CVSS bereits im Jahr 2005 veröffentlicht wurde.
Die CVSS Scores basieren auf verschiedenen Metriken, wie beispielsweise der Notwendigkeit einer Authentifizierung oder dem Zugriff auf ein Netzwerk. Die maximale Punktzahl von 10 von 10 bezeichnet eine „kritische“ Sicherheitslücke, durch die Angreifer in der Regel aus der Ferne, ohne Authentifizierung, Schadcode auf Systeme schieben und ausführen können. In solchen Fällen ist es ratsam, umgehend Sicherheitsupdates zu installieren.
Bei der Verwendung des Bewertungssystems müssen Nutzer sich auf Änderungen bei der Berechnung der Scores einstellen. Die Anpassungen betreffen auch das Lesen und Interpretieren von CVSS Scores. Der überarbeitete Standard zielt darauf ab, neben dem Basis-Score auch die Bewertung des tatsächlichen Risikos zu verbessern, insbesondere wenn plötzlich ein Exploit im Umlauf ist.
Weitere Details zu den neuen Metriken und Änderungen von CVSS 4.0 finden Sie in unserem Hintergrundartikel „Die wichtigsten Änderungen der neuen Schwachstellenbewertung CVSS 4.0“. Dort haben wir eine anschauliche Grafik erstellt, in der die angepassten Metriken im Vergleich zu CVSS 3.1 dargestellt sind.
FAQ:
Q: Was ist CVSS?
A: CVSS steht für Common Vulnerability Scoring System und ist ein Bewertungssystem für Sicherheitslücken.
Q: Welche Änderungen bringt CVSS 4.0?
A: CVSS 4.0 bietet zusätzliche Metriken für eine genauere Bewertung von Sicherheitslücken und ist besser auf IoT-Geräte zugeschnitten.
Q: Was bedeutet ein Score von 10 von 10?
A: Ein Score von 10 von 10 bezeichnet eine „kritische“ Sicherheitslücke, durch die Angreifer ohne Authentifizierung Schadcode auf Systeme schieben und ausführen können.
Q: Sind Sicherheitsupdates immer erforderlich?
A: Ja, bei bekannten „kritischen“ Sicherheitslücken ist es ratsam, umgehend Sicherheitsupdates zu installieren.
